中危 hibernate hibernate_orm sql命令中使用的特殊元素转义处理不恰当（sql注入）

CVE编号

CVE-2019-14900

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2020-07-07

漏洞描述

Red Hat Hibernate ORM是美国红帽（Red Hat）公司的一款用于编写应用程序的对象/关系映射（ORM）框架。JPA Criteria API是其中的一个用于查询功能的API（应用程序编程接口）。 Red Hat Hibernate ORM 5.3.18之前版本、5.4.18之前版本和5.5.0.Beta1之前版本中的JPA Criteria API的实现存在SQL注入漏洞。攻击者可利用该漏洞访问未授权的信息或进行进一步的攻击。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：https://hibernate.org/

参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=1666499
https://lists.apache.org/thread.html/r833c1276e41334fa675848a08daf0c61f39009f...
https://security.netapp.com/advisory/ntap-20220210-0020/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	hibernate	hibernate_orm	*		Up to (excluding) 5.3.18
	运行在以下环境
	应用	hibernate	hibernate_orm	*	From (including) 5.4.0	Up to (excluding) 5.4.18
	运行在以下环境
	应用	redhat	decision_manager	7.0	-
	运行在以下环境
	应用	redhat	jboss_data_grid	7.0.0	-
	运行在以下环境
	应用	redhat	openstack	10	-
	运行在以下环境
	应用	redhat	openstack	13.0	-
	运行在以下环境
	应用	redhat	openstack	14.0	-
	运行在以下环境
	系统	debian_10	libhibernate3-java	*		Up to (excluding) 3.6.10.Final-9+deb10u1
	运行在以下环境
	系统	debian_11	libhibernate3-java	*		Up to (excluding) 3.6.10.Final-11
	运行在以下环境
	系统	debian_12	libhibernate3-java	*		Up to (excluding) 3.6.10.Final-12
	运行在以下环境
	系统	debian_sid	libhibernate3-java	*		Up to (excluding) 3.6.10.Final-12
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	hibernate	*		Up to (excluding) 4.3.11-3.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	hibernate	*		Up to (excluding) 4.3.11-3.ky10

阿里云评分 6.1

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 POC 已公开
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）

Exp相关链接

• https://github.com/shanika04/hibernate-orm

- avd.aliyun.com